CN115801447B - 基于工业安全的流量解析方法、装置与电子设备 - Google Patents
基于工业安全的流量解析方法、装置与电子设备 Download PDFInfo
- Publication number
- CN115801447B CN115801447B CN202310023591.3A CN202310023591A CN115801447B CN 115801447 B CN115801447 B CN 115801447B CN 202310023591 A CN202310023591 A CN 202310023591A CN 115801447 B CN115801447 B CN 115801447B
- Authority
- CN
- China
- Prior art keywords
- flow
- log
- communication protocol
- flow log
- vector
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本公开的实施例公开了基于工业安全的流量解析方法、装置与电子设备。该方法的一具体实施方式包括:解析镜像流量组中每个镜像流量的流量特征信息,得到流量特征信息组;对流量特征信息组进行打包处理,以生成流量特征信息数据包;对流量特征信息数据包进行流量解析处理,以生成流量特征信息数据解析结果;采集工业互联网中每个工业交换机在预设时间段内的流量日志,得到流量日志组;对流量日志组中的每个流量日志进行日志检测处理,以生成流量日志检测结果,得到流量日志检测结果组;将流量日志组中对应的流量日志检测结果表征日志无异常的各个流量日志存储至目标数据库中。该实施方式可以解析出流量中的潜在风险。
Description
技术领域
本公开的实施例涉及工业互联网领域,具体涉及基于工业安全的流量解析方法、装置与电子设备。
背景技术
随着工业控制网络的快速迭代,工控网络互联网化已成趋势,工控网络安全面临着更大的挑战,传统工控网络常常采用严格限制连接外网的方式在当前工业互联网趋势下已不再适用,同时由于内网与外网交流的数据量、频次的增加,为防止内网存在的潜在风险,只监控外网流量的方式已经不能满足当前工控网络安全的要求。现有的工业安全检测***对流量检测方式单一,只对外网进入内网的流量分析不够全面存在隐蔽攻击的可能性。且部署需要接入到现在的网络中影响业务,可能给生产环境带来风险与不便。目前,工业安全检测***对于流量进行检测,通常存在以下技术问题:
1,检测方式单一,流量分析不全面,难以解析出流量中的潜在风险;
2,未对检测后的流量数据进行分片存储,当对流量数据的读取请求较多时,导致数据库的读取压力较大,容易造成数据库的卡顿;
此外,工业交换机中产生的流量数据较多,导致数据库中存储的无效流量数据较多,造成存储资源的浪费。
发明内容
本公开的内容部分用于以简要的形式介绍构思,这些构思将在后面的具体实施方式部分被详细描述。本公开的内容部分并不旨在标识要求保护的技术方案的关键特征或必要特征,也不旨在用于限制所要求的保护的技术方案的范围。
本公开的一些实施例提出了基于工业安全的流量解析方法、装置、电子设备和计算机可读介质,来解决以上背景技术部分提到的技术问题中的一项或多项。
第一方面,本公开的一些实施例提供了一种基于工业安全的流量解析方法,该方法包括:采集工业互联网中每个工业交换机中的镜像流量,得到镜像流量组;解析上述镜像流量组中每个镜像流量的流量特征信息,得到流量特征信息组,其中,上述流量特征信息组中的流量特征信息包括:源地址、源端口、目的地址、目的端口、协议类型、源访问控制地址、目的访问控制地址与数据包;对上述流量特征信息组进行打包处理,以生成流量特征信息数据包;对上述流量特征信息数据包进行流量解析处理,以生成流量特征信息数据解析结果,以及将上述流量特征信息数据解析结果存储至相关联的流量监测终端;采集工业互联网中每个工业交换机在预设时间段内的流量日志,得到流量日志组;对上述流量日志组中的每个流量日志进行日志检测处理,以生成流量日志检测结果,得到流量日志检测结果组;将上述流量日志组中对应的流量日志检测结果表征日志无异常的各个流量日志存储至目标数据库中。
第二方面,本公开的一些实施例提供了一种基于工业安全的流量解析装置,装置包括:第一采集单元,被配置成采集工业互联网中每个工业交换机中的镜像流量,得到镜像流量组;解析单元,被配置成解析上述镜像流量组中每个镜像流量的流量特征信息,得到流量特征信息组,其中,上述流量特征信息组中的流量特征信息包括:源地址、源端口、目的地址、目的端口、协议类型、源访问控制地址、目的访问控制地址与数据包;打包单元,被配置成对上述流量特征信息组进行打包处理,以生成流量特征信息数据包;流量解析单元,被配置成对上述流量特征信息数据包进行流量解析处理,以生成流量特征信息数据解析结果,以及将上述流量特征信息数据解析结果存储至相关联的流量监测终端;第二采集单元,被配置成采集工业互联网中每个工业交换机在预设时间段内的流量日志,得到流量日志组;检测单元,被配置成对上述流量日志组中的每个流量日志进行日志检测处理,以生成流量日志检测结果,得到流量日志检测结果组;存储单元,被配置成将上述流量日志组中对应的流量日志检测结果表征日志无异常的各个流量日志存储至目标数据库中。
第三方面,本公开的一些实施例提供了一种电子设备,包括:一个或多个处理器;存储装置,其上存储有一个或多个程序,当一个或多个程序被一个或多个处理器执行,使得一个或多个处理器实现上述第一方面任一实现方式所描述的方法。
第四方面,本公开的一些实施例提供了一种计算机可读介质,其上存储有计算机程序,其中,程序被处理器执行时实现上述第一方面任一实现方式所描述的方法。
本公开的上述各个实施例具有如下有益效果:通过本公开的一些实施例的基于工业安全的流量解析方法,可以解析出流量中的潜在风险,以提升交换机的通信安全。具体来说,难以解析出流量中的潜在风险的原因在于:检测方式单一,流量分析不全面。基于此,本公开的一些实施例的基于工业安全的流量解析方法,首先,采集工业互联网中每个工业交换机中的镜像流量,得到镜像流量组。由此,便于对每个工业交换机的镜像流量进行解析。其次,解析上述镜像流量组中每个镜像流量的流量特征信息,得到流量特征信息组。其中,上述流量特征信息组中的流量特征信息包括:源地址、源端口、目的地址、目的端口、协议类型、源访问控制地址、目的访问控制地址与数据包。由此,根据流量特征信息,检测交换机的传输流量是否异常。再其次,对上述流量特征信息组进行打包处理,以生成流量特征信息数据包。接着,对上述流量特征信息数据包进行流量解析处理,以生成流量特征信息数据解析结果,以及将上述流量特征信息数据解析结果存储至相关联的流量监测终端。由此,可以从流量特征的角度完成对流量的检测。然后,采集工业互联网中每个工业交换机在预设时间段内的流量日志,得到流量日志组。再然后,对上述流量日志组中的每个流量日志进行日志检测处理,以生成流量日志检测结果,得到流量日志检测结果组。由此,可以根据流量日志,检测交换机中的流量是否异常。最后,将上述流量日志组中对应的流量日志检测结果表征日志无异常的各个流量日志存储至目标数据库中。由此,便于后续用户在数据库中查询相关的流量日志。从而,可以解析出流量中的潜在风险,以提升交换机的通信安全。
附图说明
结合附图并参考以下具体实施方式,本公开各实施例的上述和其他特征、优点及方面将变得更加明显。贯穿附图中,相同或相似的附图标记表示相同或相似的元素。应当理解附图是示意性的,元件和元素不一定按照比例绘制。
图1是根据本公开的基于工业安全的流量解析方法的一些实施例的流程图;
图2是根据本公开的基于工业安全的流量解析装置的一些实施例的结构示意图;
图3是适于用来实现本公开的一些实施例的电子设备的结构示意图。
具体实施方式
下面将参照附图更详细地描述本公开的实施例。虽然附图中显示了本公开的某些实施例,然而应当理解的是,本公开可以通过各种形式来实现,而且不应该被解释为限于这里阐述的实施例。相反,提供这些实施例是为了更加透彻和完整地理解本公开。应当理解的是,本公开的附图及实施例仅用于示例性作用,并非用于限制本公开的保护范围。
另外还需要说明的是,为了便于描述,附图中仅示出了与有关发明相关的部分。在不冲突的情况下,本公开中的实施例及实施例中的特征可以相互组合。
需要注意,本公开中提及的“第一”、“第二”等概念仅用于对不同的装置、模块或单元进行区分,并非用于限定这些装置、模块或单元所执行的功能的顺序或者相互依存关系。
需要注意,本公开中提及的“一个”、“多个”的修饰是示意性而非限制性的,本领域技术人员应当理解,除非在上下文另有明确指出,否则应该理解为“一个或多个”。
本公开实施方式中的多个装置之间所交互的消息或者信息的名称仅用于说明性的目的,而并不是用于对这些消息或信息的范围进行限制。
下面将参考附图并结合实施例来详细说明本公开。
图1是根据本公开的基于工业安全的流量解析方法的一些实施例的流程图。示出了根据本公开的基于工业安全的流量解析方法的一些实施例的流程100。该基于工业安全的流量解析方法,包括以下步骤:
步骤101,采集工业互联网中每个工业交换机中的镜像流量,得到镜像流量组。
在一些实施例中,基于工业安全的流量解析方法的执行主体(例如服务器)可以通过有线连接或无线连接的方式从每个工业交换机中采集镜像流量,得到镜像流量组。这里,镜像流量可以是指工业协议信息帧(Comm协议信息帧)。
步骤102,解析上述镜像流量组中每个镜像流量的流量特征信息,得到流量特征信息组。
在一些实施例中,上述执行主体可以解析上述镜像流量组中每个镜像流量的流量特征信息,得到流量特征信息组。其中,上述流量特征信息组中的流量特征信息包括:源地址IP(Internet Protocol)、源端口、目的IP地址、目的端口、协议类型、源访问控制(MAC)地址、目的访问控制MAC地址与数据包。实践中,上述执行主体可以通过S7 Comm(Connection-Oriented Transport Protocol,COTP)层数据帧的协议解析解析上述镜像流量组中每个镜像流量的流量特征信息,得到流量特征信息组。
步骤103,对上述流量特征信息组进行打包处理,以生成流量特征信息数据包。
在一些实施例中,上述执行主体可以对上述流量特征信息组进行打包处理,以生成流量特征信息数据包。这里,打包处理可以是指数据打包。
步骤104,对上述流量特征信息数据包进行流量解析处理,以生成流量特征信息数据解析结果,以及将上述流量特征信息数据解析结果存储至相关联的流量监测终端。
在一些实施例中,上述执行主体可以对上述流量特征信息数据包进行流量解析处理,以生成流量特征信息数据解析结果,以及将上述流量特征信息数据解析结果存储至相关联的流量监测终端。这里,流量监测终端可以是根据流量特征信息数据解析结果,对工业交换机进行维修的终端。例如,流量监测终端可以是流量监测服务器,当接收到流量特征信息数据解析结果之后,可以通过相关的技术人员对工业交换机进行检测。这里,流量解析处理可以包括但不限于:suricata源码预分析、协议类型预处理、数据帧深入分析、数据内容分析、历史数据关联分析。suricata源码预分析可以及时的排除常见的漏洞及风险。协议类型预处理可以根据是否是部署环境中所使用的协议来判定数据包是否为风险数据包,如果不是***中使用的协议记录风险信息。数据帧深入分析,通过端口及***中使用的端口对比、源IP、目的IP是否是当前环境中的已知资产,如果存在异常情况记录风险。对于常用的协议类型通过有固定的数据结构,数据内容分析可以通过不同的协议类型对协议进行的操作进行详细分析,如协议中的内容操作有风险(包括不限于操作不在当前设备可操作的白名单内的设备、数据超阈值、数据类型对就数值不合法等)及时记录风险。历史数据关联分析可以分析一定时间内该数据包里的源IP、目的IP的所有历史记录,对涉及的数据包按IP地址进行拼接,归并等操作判定此段时间内源头IP有没有所有操作是否符合操作权限,有没有外联操作(比如对不允许操作的IP通过内网转发的方式下发数据)及时排除内网的潜在风险。
这里,流量解析处理还可以是对流量特征信息数据包包括的源地址IP(InternetProtocol)、源端口、目的IP地址、目的端口、协议类型进行解析,确定源地址IP(InternetProtocol)、源端口、目的IP地址、目的端口、协议类型是否符合预设的源地址IP、源端口、目的IP地址、目的端口、协议类型。
流量特征信息数据解析结果可以表征流量特征信息包括的流量特征异常或无异常。
步骤105,采集工业互联网中每个工业交换机在预设时间段内的流量日志,得到流量日志组。
在一些实施例中,上述执行主体可以通过有线连接或无线连接的方式采集每个工业交换机在预设时间段内的流量日志,得到流量日志组。流量日志组中的流量日志包括:交换机标识、网络设备标识、通信协议、端口标识与带宽利用率。这里,一流量日志对应一网络设备标识。即,一流量日志表示该工业交换机与一工业网络设备的流量日志。端口标识可以表示工业交换机与工业网络设备进行流量通信的端口的标识。带宽利用率可以是工业交换机与工业网络设备进行通信的端口的带宽利用率。交换机标识可以唯一表示一工业交换机。这里,对于预设时间段的设定,不做限定。这里,工业互联网中每个工业交换机与步骤101中的相同。
步骤106,对上述流量日志组中的每个流量日志进行日志检测处理,以生成流量日志检测结果,得到流量日志检测结果组。
在一些实施例中,上述执行主体可以对上述流量日志组中的每个流量日志进行日志检测处理,以生成流量日志检测结果,得到流量日志检测结果组。
实践中,上述执行主体可以通过以下步骤对上述流量日志组中的每个流量日志进行日志检测处理,以生成流量日志检测结果:
第一步,对上述流量日志包括的交换机标识、网络设备标识、通信协议、端口标识与带宽利用率分别进行向量化处理,以生成交换机标识向量、网络设备标识向量、通信协议向量、端口标识向量与带宽利用率向量。即,可以通过预先训练的向量编码模型对上述流量日志包括的交换机标识、网络设备标识、通信协议、端口标识与带宽利用率分别进行向量化处理,以生成交换机标识向量、网络设备标识向量、通信协议向量、端口标识向量与带宽利用率向量。例如,向量编码模型可以是BERT模型。
第二步,将上述交换机标识向量、上述网络设备标识向量与上述通信协议向量拼接为设备通信协议向量。
第三步,将上述端口标识向量与上述带宽利用率向量拼接为端口带宽向量。
第四步,将上述设备通信协议向量与上述端口带宽向量输入至预先训练的流量日志检测模型中,得到流量日志检测结果。其中,上述流量日志检测结果包括:通信协议检测结果与端口带宽利用率检测结果。这里,流量日志检测模型可以是指预先训练的以设备通信协议向量与端口带宽向量为输入,以流量日志检测结果为输出的卷积神经网络(Convolutional Neural Networks,CNN)。通信协议检测结果可以表示工业交换机与工业网络设备之间的通信协议是否异常。端口带宽利用率检测结果可以表示工业交换机与工业网络设备之间的带宽利用率是否异常。这里,流量日志检测模型可以包括通信协议检测模型与端口带宽利用率检测模型。这里,通信协议检测模型可以是预先训练的以设备通信协议向量为输入,以通信协议检测结果为输出的卷积神经网络。端口带宽利用率检测模型可以是指预先训练的以端口带宽向量为输入,以端口带宽利用率检测结果为输出的卷积神经网络。
实践中,上述第四步可以包括以下子步骤:
第一子步骤,将上述设备通信协议向量输入至上述通信协议检测模型中,得到通信协议检测结果。
第二子步骤,将上述端口带宽利用率检测模型输入至上述端口带宽利用率检测模型中,得到端口带宽利用率检测结果。
第三子步骤,将上述通信协议检测结果与上述端口带宽利用率检测结果组合为流量日志检测结果。
可选地,上述流量日志检测模型是通过以下步骤训练得到的:
第一步,获取通信协议样本组与端口带宽利用率样本组。其中,上述通信协议样本组包括正通信协议样本与负通信协议样本。这里,正通信协议样本可以是指设定的工业交换机与工业网络设备之间真实的通信协议。负通信协议样本可以是指虚假的工业交换机与工业网络设备之间通信协议。例如,负通信协议样本可以是将一个虚假的通信协议添加至真实的通信协议中,得到添加后的通信协议作为负通信协议样本。负通信协议样本还可以是对正通信协议样本进行加噪处理,生成的加噪通信协议样本作为负通信协议样本。
第二步,对上述正通信协议样本与上述负通信协议样本分别进行向量化处理,以生成正通信协议样本向量与负通信协议样本向量。即,可以通过BERT编码模型对上述正通信协议样本与上述负通信协议样本分别进行向量化处理,以生成正通信协议样本向量与负通信协议样本向量。
第三步,将上述负通信协议样本向量输入至初始流量日志检测模型包括的初始样本去噪网络中,得到负通信协议噪声去除向量。初始流量日志检测模型可以是指未训练的流量日志检测模型。例如,初始流量日志检测模型可以是未经训练的卷积神经网络(Convolutional Neural Networks,CNN)。初始样本去噪网络可以是未训练的样本噪声去除模型。样本噪声去除模型可以是去除负通信协议样本向量中虚假噪声信息的模型。例如,样本噪声去除模型可以是卷积神经网络模型或循环神经网络模型。上述负通信协议噪声去除向量可以表征负通信协议样本对应的样本特征中去除噪声特征后的特征信息。
第四步,根据上述负通信协议噪声去除向量、上述负通信协议样本向量和上述初始流量日志检测模型包括的初始通信协议分类模型,生成对应上述负通信协议样本的通信协议分类信息。其中,上述通信协议分类信息表征上述负通信协议样本对应的通信协议是否为异常通信协议。初始通信协议分类模型可以是未训练的通信协议分类模型。上述通信协议分类模型可以是确定通信协议是否为虚假通信协议的分类模型。例如,通信协议分类模型可以是卷积神经网络模型。例如,通信协议分类信息包括:表征负通信协议样本对应的通信协议为虚假通信协议的信息和表征负通信协议样本对应的通信协议不为虚假通信协议的信息。实践中,首先,上述执行主体可以将上述负通信协议噪声去除向量与上述负通信协议样本向量进行拼接,得到拼接向量。然后,可以将上述拼接向量输入至上述初始通信协议分类模型中,得到通信协议分类信息。
第五步,根据上述正通信协议样本向量、上述负通信协议噪声去除向量和上述通信协议分类信息,对上述初始流量日志检测模型包括的初始通信协议检测模型进行训练,得到训练后的通信协议检测模型。
实践中,上述执行主体可以通过以下步骤对上述初始流量日志检测模型包括的初始通信协议检测模型进行训练,得到训练后的通信协议检测模型:
第一,确定上述初始通信协议检测模型的网络结构以及初始化上述初始通信协议检测模型的网络参数。
第二,将上述正通信协议样本向量与上述负通信协议噪声去除向量的拼接向量作为上述初始通信协议检测模型输入,将上述通信协议分类信息作为上述初始通信协议检测模型的期望输出,利用深度学习方法训练上述初始通信协议检测模型。
第三,将训练完成的初始通信协议检测模型确定为训练后的通信协议检测模型。
第六步,根据上述端口带宽利用率样本组,对上述初始流量日志检测模型包括的初始端口带宽利用率检测模型进行训练,得到训练后的端口带宽利用率检测模型。端口带宽利用率样本可以包括带宽利用率样本和样本标签,样本标签可以表示带宽利用率样本是否异常。带宽利用率样本可以表示某一工业交换机标识与某一工业网络设备的带宽利用率。
实践中,上述执行主体可以通过以下步骤对上述初始流量日志检测模型包括的初始端口带宽利用率检测模型进行训练,得到训练后的端口带宽利用率检测模型:
第一,从上述端口带宽利用率样本组中随机选择一端口带宽利用率样本。
第二,确定上述初始端口带宽利用率检测模型的网络结构以及初始化上述初始端口带宽利用率检测模型的网络参数。
第三,将上述端口带宽利用率样本包括的带宽利用率样本作为上述初始端口带宽利用率检测模型输入,将上述端口带宽利用率样本包括的样本标签作为上述初始端口带宽利用率检测模型的期望输出,利用深度学习方法训练上述初始端口带宽利用率检测模型。
第四,将训练完成的初始端口带宽利用率检测模型确定为训练后的端口带宽利用率检测模型。
第七步,将上述通信协议检测模型与上述端口带宽利用率检测模型组合为流量日志检测模型。
步骤107,将上述流量日志组中对应的流量日志检测结果表征日志无异常的各个流量日志存储至目标数据库中。
在一些实施例中,上述执行主体可以将上述流量日志组中对应的流量日志检测结果表征日志无异常的各个流量日志存储至目标数据库中。上述流量日志组中的流量日志包括:交换机标识、网络设备标识与至少一个通信时间节点。这里,通信时间节点可以表示工业交换机与工业网络设备之间的一段流量数据传输完成的时间点。流量日志检测结果表征日志无异常可以是指通信协议检测结果与端口带宽利用率检测结果均无异常。目标数据库可以是指本地数据库。
实践中,上述执行主体可以通过以下步骤将上述流量日志组中对应的流量日志检测结果表征日志无异常的各个流量日志存储至目标数据库中:
第一步,将上述流量日志组中对应的流量日志检测结果表征日志无异常的各个流量日志确定为待存储流量日志组。
第二步,对于上述待存储流量日志组中每个待存储流量日志,执行如下处理步骤:
第一子步骤,确定预设的网络设备标识组中是否存在对应上述待存储流量日志包括的网络设备标识的网络设备标识。这里,预设的网络设备标识组可以是指高访问量/高读取频次的工业网络设备对应的各个网络设备标识。即,确定网络设备标识组中是否存在与上述待存储流量日志包括的网络设备标识相同的网络设备标识。
第二子步骤,响应于确定上述网络设备标识组中存在对应上述待存储流量日志包括的网络设备标识的网络设备标识,根据预设的存储容量阈值、上述待存储流量日志对应的文件数据容量与上述待存储流量日志包括的至少一个通信时间节点,对上述待存储流量日志进行划分,得到至少一个子流量日志。这里,存储容量阈值可以是指对待存储流量日志进行划分的容量阈值。文件数据容量可以是指待存储流量日志的数据容量。
实践中,上述第二子步骤,可以包括以下步骤:
1、确定上述待存储流量日志对应的文件数据容量是否大于等于上述存储容量阈值。
2、响应于确定上述文件数据容量小于等于上述存储容量阈值,将上述待存储流量日志确定为子流量日志。
3、响应于确定上述文件数据容量大于上述存储容量阈值,根据上述待存储流量日志包括的至少一个通信时间节点,对上述待存储流量日志进行第一划分,得到至少一个第一子流量日志。其中,第一子流量日志对应通信时间节点。即,第一子流量日志可以表示一段完整的传输流量的日志。即,可以将每个通信时间节点之前的完整传输的一段流量的流量日志划分为第一子流量日志。
4、对上述至少一个第一子流量日志进行划分处理,以生成至少一个第一子流量日志组。其中,第一子流量日志组包括的各个第一子流量日志对应的数据容量小于等于上述存储容量阈值。
5、将上述至少一个第一子流量日志组中的每个第一子流量日志组合并为子流量日志,得到至少一个子流量日志。即,将第一子流量日志组包括的各个第一子流量日志合并为子流量日志。
上述1-5步作为本公开的一个发明点,解决了背景技术提及的技术问题二“容易造成数据库的卡顿”。容易造成数据库的卡顿的因素往往如下:未对检测后的流量数据进行分片存储,当对流量数据的读取请求较多时,导致数据库的读取压力较大。如果解决了上述因素,就能达到减少数据库的卡顿的效果。为了达到这一效果,首先,确定上述待存储流量日志对应的文件数据容量是否大于等于上述存储容量阈值。由此,便于对不同数据容量的流量日志进行分类存储。其次,响应于确定上述文件数据容量小于等于上述存储容量阈值,将上述待存储流量日志确定为子流量日志。由此,可以使得每一个存储的流量日志的数据容量均处于一个较小的水平。接着,响应于确定上述文件数据容量大于上述存储容量阈值,根据上述待存储流量日志包括的至少一个通信时间节点,对上述待存储流量日志进行第一划分,得到至少一个第一子流量日志。由此,可以在待存储流量日志的数据容量较大时,对待存储流量日志进行划分处理,以便于分片存储,以降低数据访问压力。然后,对上述至少一个第一子流量日志进行划分处理,以生成至少一个第一子流量日志组。其中,第一子流量日志组包括的各个第一子流量日志对应的数据容量小于等于上述存储容量阈值。最后,将上述至少一个第一子流量日志组中的每个第一子流量日志组合并为子流量日志,得到至少一个子流量日志。由此,便于对每个子流量日志进行分类存储。从而,在流量数据的读取请求较多时,可以降低数据库的读取压力。进而减少了数据库的卡顿。
第三子步骤,根据上述待存储流量日志包括的交换机标识,将上述至少一个子流量日志存储至上述目标数据库中。
实践中,上述第三子步骤,可以包括以下子步骤:
1、确定上述目标数据库中对应上述交换机标识的日志存储节点。即,在目标数据库中为每一交换机标识设定了一日志存储节点。日志存储节点可以用于存储该交换机标识对应的流量日志。日志存储节点可以是指用于存储流量日志的存储节点。
2、对于上述至少一个子流量日志中的每个子流量日志,执行如下处理步骤:
第一、响应于确定上述子流量日志对应的数据容量等于上述存储容量阈值,将上述子流量日志存储至上述日志存储节点的第一日志缓存池中。这里,第一日志缓存池可以是指用于存储数据容量大于上述存储容量阈值的子流量日志的存储磁盘。例如,第一日志缓存池可以是HDD(Hard Disk Drive,硬盘驱动器)存储磁盘。
第二、响应于确定上述子流量日志对应的数据容量小于上述存储容量阈值,将上述子流量日志存储至上述日志存储节点的第二日志缓存池中。第二日志缓存池可以是指用于存储数据容量小于等于上述存储容量阈值的子流量日志的存储磁盘。例如,第二日志缓存池可以是指SSD固态硬盘(Solid State Drives)。
可选地,对于上述目标数据库中的每个日志存储节点,执行如下处理步骤:
第一步,响应于确定上述日志存储节点的第一日志缓存池中存在存储时长大于等于第一预设时长的子流量日志,将上述日志存储节点的第一日志缓存池中存储时长大于等于第一预设时长的各个子流量日志进行合并,得到合并流量日志。这里,对于第一预设时长的设定,不做限定。
第二步,将上述合并流量日志存储至上述日志存储节点的第二日志缓存池中。
第三步,响应于确定上述日志存储节点的第二日志缓存池中存在存储时长大于等于第二预设时长的流量日志,将上述日志存储节点的第二日志缓存池中存储时长大于等于第二预设时长的每个流量日志确定为备选流量日志,得到备选流量日志组。这里,对于第二预设时长的设定,不做限定。
第四步,确定上述备选流量日志组中每个备选流量日志在目标时间段内的读取频次,得到读取频次组。这里,读取频次可以是指在目标时间段内该备选流量日志被读取的次数。这里,对于目标时间段的设定,不作限定。例如,目标时间段可以是指当前时间的一周内的时间段。
第五步,删除上述日志存储节点的第二日志缓存池中对应的读取频次为0的流量日志。即,删除上述第二日志缓存池中对应的读取频次为0的备选流量日志所对应的流量日志。
上述第一步-第五步作为本公开的一个发明点,解决了背景技术提及的技术问题三“造成存储资源的浪费”。造成存储资源的浪费的因素往往如下:工业交换机中产生的流量数据较多,导致数据库中存储的无效流量数据较多。如果解决了上述因素,就能达到减少存储资源的浪费的效果。为了达到这一效果,首先,响应于确定上述日志存储节点的第一日志缓存池中存在存储时长大于等于第一预设时长的子流量日志,将上述日志存储节点的第一日志缓存池中存储时长大于等于第一预设时长的各个子流量日志进行合并,得到合并流量日志。其次,将上述合并流量日志存储至上述日志存储节点的第二日志缓存池中。由此,可以将第一日志缓存池中存储时间较长的流量日志转移至第二日志缓存池中。以降低第一日志缓存池的存储压力。接着,响应于确定上述日志存储节点的第二日志缓存池中存在存储时长大于等于第二预设时长的流量日志,将上述日志存储节点的第二日志缓存池中存储时长大于等于第二预设时长的每个流量日志确定为备选流量日志,得到备选流量日志组。然后,确定上述备选流量日志组中每个备选流量日志在目标时间段内的读取频次,得到读取频次组。最后,删除上述日志存储节点的第二日志缓存池中对应的读取频次为0的流量日志。由此,可以删除第二日志缓存池中存储时间长且近期未被读取的流量日志。从而,释放了第二日志缓存池的存储压力,减少了数据库中无效流量日志的存储,减少了存储资源的浪费。
进一步参考图2,作为对上述各图所示方法的实现,本公开提供了一种基于工业安全的流量解析装置的一些实施例,这些基于工业安全的流量解析装置实施例与图1所示的那些方法实施例相对应,该基于工业安全的流量解析装置具体可以应用于各种电子设备中。
如图2所示,一些实施例的基于工业安全的流量解析装置200包括:第一采集单元201、解析单元202、打包单元203、流量解析单元204、第二采集单元205、检测单元206和存储单元207。其中,第一采集单元201,被配置成采集工业互联网中每个工业交换机中的镜像流量,得到镜像流量组;解析单元202,被配置成解析上述镜像流量组中每个镜像流量的流量特征信息,得到流量特征信息组,其中,上述流量特征信息组中的流量特征信息包括:源地址、源端口、目的地址、目的端口、协议类型、源访问控制地址、目的访问控制地址与数据包;打包单元203,被配置成对上述流量特征信息组进行打包处理,以生成流量特征信息数据包;流量解析单元204,被配置成对上述流量特征信息数据包进行流量解析处理,以生成流量特征信息数据解析结果,以及将上述流量特征信息数据解析结果存储至相关联的流量监测终端;第二采集单元205,被配置成采集工业互联网中每个工业交换机在预设时间段内的流量日志,得到流量日志组;检测单元206,被配置成对上述流量日志组中的每个流量日志进行日志检测处理,以生成流量日志检测结果,得到流量日志检测结果组;存储单元207,被配置成将上述流量日志组中对应的流量日志检测结果表征日志无异常的各个流量日志存储至目标数据库中。
可以理解的是,该基于工业安全的流量解析装置200中记载的诸单元与参考图1描述的方法中的各个步骤相对应。由此,上文针对方法描述的操作、特征以及产生的有益效果同样适用于基于工业安全的流量解析装置200及其中包含的单元,在此不再赘述。
下面参考图3,其示出了适于用来实现本公开的一些实施例的电子设备(例如,服务器)300的结构示意图。本公开的一些实施例中的电子设备可以包括但不限于诸如移动电话、笔记本电脑、数字广播接收器、PDA(个人数字助理)、PAD(平板电脑)、PMP(便携式多媒体播放器)、车载终端(例如车载导航终端)等等的移动终端以及诸如数字TV、台式计算机等等的固定终端。图3示出的电子设备仅仅是一个示例,不应对本公开的实施例的功能和使用范围带来任何限制。
如图3所示,电子设备300可以包括处理装置(例如中央处理器、图形处理器等)301,其可以根据存储在只读存储器(ROM)302中的程序或者从存储装置308加载到随机访问存储器(RAM)303中的程序而执行各种适当的动作和处理。在RAM303中,还存储有电子设备300操作所需的各种程序和数据。处理装置301、ROM302以及RAM 303通过总线304彼此相连。输入/输出(I/O)接口305也连接至总线304。
通常,以下装置可以连接至I/O接口305:包括例如触摸屏、触摸板、键盘、鼠标、摄像头、麦克风、加速度计、陀螺仪等的输入装置306;包括例如液晶显示器(LCD)、扬声器、振动器等的输出装置307;包括例如磁带、硬盘等的存储装置308;以及通信装置309。通信装置309可以允许电子设备300与其他设备进行无线或有线通信以交换数据。虽然图3示出了具有各种装置的电子设备300,但是应理解的是,并不要求实施或具备所有示出的装置。可以替代地实施或具备更多或更少的装置。图3中示出的每个方框可以代表一个装置,也可以根据需要代表多个装置。
特别地,根据本公开的一些实施例,上文参考流程图描述的过程可以被实现为计算机软件程序。例如,本公开的一些实施例包括一种计算机程序产品,其包括承载在计算机可读介质上的计算机程序,该计算机程序包含用于执行流程图所示的方法的程序代码。在这样的一些实施例中,该计算机程序可以通过通信装置309从网络上被下载和安装,或者从存储装置308被安装,或者从ROM302被安装。在该计算机程序被处理装置301执行时,执行本公开的一些实施例的方法中限定的上述功能。
需要说明的是,本公开的一些实施例中记载的计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质或者是上述两者的任意组合。计算机可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的***、装置或器件,或者任意以上的组合。计算机可读存储介质的更具体的例子可以包括但不限于:具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机访问存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑磁盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本公开的一些实施例中,计算机可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行***、装置或者器件使用或者与其结合使用。而在本公开的一些实施例中,计算机可读信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读信号介质还可以是计算机可读存储介质以外的任何计算机可读介质,该计算机可读信号介质可以发送、传播或者传输用于由指令执行***、装置或者器件使用或者与其结合使用的程序。计算机可读介质上包含的程序代码可以用任何适当的介质传输,包括但不限于:电线、光缆、RF(射频)等等,或者上述的任意合适的组合。
在一些实施方式中,客户端、服务器可以利用诸如HTTP(HyperText TransferProtocol,超文本传输协议)之类的任何当前已知或未来研发的网络协议进行通信,并且可以与任意形式或介质的数字数据通信(例如,通信网络)互连。通信网络的示例包括局域网(“LAN”),广域网(“WAN”),网际网(例如,互联网)以及端对端网络(例如,ad hoc端对端网络),以及任何当前已知或未来研发的网络。
上述计算机可读介质可以是上述电子设备中所包含的;也可以是单独存在,而未装配入该电子设备中。上述计算机可读介质承载有一个或者多个程序,当上述一个或者多个程序被该电子设备执行时,使得该电子设备:采集工业互联网中每个工业交换机中的镜像流量,得到镜像流量组;解析上述镜像流量组中每个镜像流量的流量特征信息,得到流量特征信息组,其中,上述流量特征信息组中的流量特征信息包括:源地址、源端口、目的地址、目的端口、协议类型、源访问控制地址、目的访问控制地址与数据包;对上述流量特征信息组进行打包处理,以生成流量特征信息数据包;对上述流量特征信息数据包进行流量解析处理,以生成流量特征信息数据解析结果,以及将上述流量特征信息数据解析结果存储至相关联的流量监测终端;采集工业互联网中每个工业交换机在预设时间段内的流量日志,得到流量日志组;对上述流量日志组中的每个流量日志进行日志检测处理,以生成流量日志检测结果,得到流量日志检测结果组;将上述流量日志组中对应的流量日志检测结果表征日志无异常的各个流量日志存储至目标数据库中。
可以以一种或多种程序设计语言或其组合来编写用于执行本公开的一些实施例的操作的计算机程序代码,上述程序设计语言包括面向对象的程序设计语言—诸如Java、Smalltalk、C++,还包括常规的过程式程序设计语言—诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算机上执行、部分地在用户计算机上执行、作为一个独立的软件包执行、部分在用户计算机上部分在远程计算机上执行、或者完全在远程计算机或服务器上执行。在涉及远程计算机的情形中,远程计算机可以通过任意种类的网络——包括局域网(LAN)或广域网(WAN)——连接到用户计算机,或者,可以连接到外部计算机(例如利用因特网服务提供商来通过因特网连接)。
附图中的流程图和框图,图示了按照本公开各种实施例的***、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分,该模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个接连地表示的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或操作的专用的基于硬件的***来实现,或者可以用专用硬件与计算机指令的组合来实现。
描述于本公开的一些实施例中的单元可以通过软件的方式实现,也可以通过硬件的方式来实现。所描述的单元也可以设置在处理器中,例如,可以描述为:一种处理器包括第一采集单元、解析单元、打包单元、流量解析单元、第二采集单元、检测单元和存储单元。其中,这些单元的名称在某种情况下并不构成对该单元本身的限定,例如,存储单元还可以被描述为“将上述流量日志组中对应的流量日志检测结果表征日志无异常的各个流量日志存储至目标数据库中的单元”。
本文中以上描述的功能可以至少部分地由一个或多个硬件逻辑部件来执行。例如,非限制性地,可以使用的示范类型的硬件逻辑部件包括:现场可编程门阵列(FPGA)、专用集成电路(ASIC)、专用标准产品(ASSP)、片上***(SOC)、复杂可编程逻辑设备(CPLD)等等。
以上描述仅为本公开的一些较佳实施例以及对所运用技术原理的说明。本领域技术人员应当理解,本公开的实施例中所涉及的发明范围,并不限于上述技术特征的特定组合而成的技术方案,同时也应涵盖在不脱离上述发明构思的情况下,由上述技术特征或其等同特征进行任意组合而形成的其它技术方案。例如上述特征与本公开的实施例中公开的(但不限于)具有类似功能的技术特征进行互相替换而形成的技术方案。
Claims (4)
1.一种基于工业安全的流量解析方法,包括:
采集工业互联网中每个工业交换机中的镜像流量,得到镜像流量组;
解析所述镜像流量组中每个镜像流量的流量特征信息,得到流量特征信息组,其中,所述流量特征信息组中的流量特征信息包括:源地址、源端口、目的地址、目的端口、协议类型、源访问控制地址、目的访问控制地址与数据包;
对所述流量特征信息组进行打包处理,以生成流量特征信息数据包;
对所述流量特征信息数据包进行流量解析处理,以生成流量特征信息数据解析结果,以及将所述流量特征信息数据解析结果存储至相关联的流量监测终端;
采集工业互联网中每个工业交换机在预设时间段内的流量日志,得到流量日志组,其中,所述流量日志组中的流量日志包括:交换机标识、网络设备标识、通信协议、端口标识、带宽利用率与至少一个通信时间节点;
对所述流量日志组中的每个流量日志进行日志检测处理,以生成流量日志检测结果,得到流量日志检测结果组;
将所述流量日志组中对应的流量日志检测结果表征日志无异常的各个流量日志存储至目标数据库中;
其中,所述对所述流量日志组中的每个流量日志进行日志检测处理,以生成流量日志检测结果,包括:
对所述流量日志包括的交换机标识、网络设备标识、通信协议、端口标识与带宽利用率分别进行向量化处理,以生成交换机标识向量、网络设备标识向量、通信协议向量、端口标识向量与带宽利用率向量;
将所述交换机标识向量、所述网络设备标识向量与所述通信协议向量拼接为设备通信协议向量;
将所述端口标识向量与所述带宽利用率向量拼接为端口带宽向量;
将所述设备通信协议向量与所述端口带宽向量输入至预先训练的流量日志检测模型中,得到流量日志检测结果,其中,所述流量日志检测结果包括:通信协议检测结果与端口带宽利用率检测结果,所述流量日志检测模型包括通信协议检测模型与端口带宽利用率检测模型;
其中,所述将所述设备通信协议向量与所述端口带宽向量输入至预先训练的流量日志检测模型中,得到流量日志检测结果,包括:
将所述设备通信协议向量输入至所述通信协议检测模型中,得到通信协议检测结果;
将所述端口带宽利用率检测模型输入至所述端口带宽利用率检测模型中,得到端口带宽利用率检测结果;
将所述通信协议检测结果与所述端口带宽利用率检测结果组合为流量日志检测结果;
其中,所述流量日志检测模型是通过以下步骤训练得到的:
获取通信协议样本组与端口带宽利用率样本组,其中,所述通信协议样本组包括正通信协议样本与负通信协议样本;
对所述正通信协议样本与所述负通信协议样本分别进行向量化处理,以生成正通信协议样本向量与负通信协议样本向量;
将所述负通信协议样本向量输入至初始流量日志检测模型包括的初始样本去噪网络中,得到负通信协议噪声去除向量;
根据所述负通信协议噪声去除向量、所述负通信协议样本向量和所述初始流量日志检测模型包括的初始通信协议分类模型,生成对应所述负通信协议样本的通信协议分类信息,其中,所述通信协议分类信息表征所述负通信协议样本对应的通信协议是否为异常通信协议;
根据所述正通信协议样本向量、所述负通信协议噪声去除向量和所述通信协议分类信息,对所述初始流量日志检测模型包括的初始通信协议检测模型进行训练,得到训练后的通信协议检测模型;
根据所述端口带宽利用率样本组,对所述初始流量日志检测模型包括的初始端口带宽利用率检测模型进行训练,得到训练后的端口带宽利用率检测模型;
将所述通信协议检测模型与所述端口带宽利用率检测模型组合为流量日志检测模型;
其中,所述将所述流量日志组中对应的流量日志检测结果表征日志无异常的各个流量日志存储至目标数据库中,包括:
将所述流量日志组中对应的流量日志检测结果表征日志无异常的各个流量日志确定为待存储流量日志组;
对于所述待存储流量日志组中每个待存储流量日志,执行如下处理步骤:
确定预设的网络设备标识组中是否存在对应所述待存储流量日志包括的网络设备标识的网络设备标识;
响应于确定所述网络设备标识组中存在对应所述待存储流量日志包括的网络设备标识的网络设备标识,根据预设的存储容量阈值、所述待存储流量日志对应的文件数据容量与所述待存储流量日志包括的至少一个通信时间节点,对所述待存储流量日志进行划分,得到至少一个子流量日志;
根据所述待存储流量日志包括的交换机标识,将所述至少一个子流量日志存储至所述目标数据库中;
其中,所述根据预设的存储容量阈值、所述待存储流量日志对应的文件数据容量与所述待存储流量日志包括的至少一个通信时间节点,对所述待存储流量日志进行划分,得到至少一个子流量日志,包括:
确定所述待存储流量日志对应的文件数据容量是否大于等于所述存储容量阈值;
响应于确定所述文件数据容量小于等于所述存储容量阈值,将所述待存储流量日志确定为子流量日志;
响应于确定所述文件数据容量大于所述存储容量阈值,根据所述待存储流量日志包括的至少一个通信时间节点,对所述待存储流量日志进行第一划分,得到至少一个第一子流量日志,其中,第一子流量日志对应通信时间节点;
对所述至少一个第一子流量日志进行划分处理,以生成至少一个第一子流量日志组,其中,第一子流量日志组包括的各个第一子流量日志对应的数据容量小于等于所述存储容量阈值;
将所述至少一个第一子流量日志组中的每个第一子流量日志组合并为子流量日志,得到至少一个子流量日志。
2.一种基于工业安全的流量解析装置,包括:
第一采集单元,被配置成采集工业互联网中每个工业交换机中的镜像流量,得到镜像流量组;
解析单元,被配置成解析所述镜像流量组中每个镜像流量的流量特征信息,得到流量特征信息组,其中,所述流量特征信息组中的流量特征信息包括:源地址、源端口、目的地址、目的端口、协议类型、源访问控制地址、目的访问控制地址与数据包;
打包单元,被配置成对所述流量特征信息组进行打包处理,以生成流量特征信息数据包;
流量解析单元,被配置成对所述流量特征信息数据包进行流量解析处理,以生成流量特征信息数据解析结果,以及将所述流量特征信息数据解析结果存储至相关联的流量监测终端;
第二采集单元,被配置成采集工业互联网中每个工业交换机在预设时间段内的流量日志,得到流量日志组,其中,所述流量日志组中的流量日志包括:交换机标识、网络设备标识、通信协议、端口标识、带宽利用率与至少一个通信时间节点;
检测单元,被配置成对所述流量日志组中的每个流量日志进行日志检测处理,以生成流量日志检测结果,得到流量日志检测结果组;检测单元,被进一步配置成:
对所述流量日志包括的交换机标识、网络设备标识、通信协议、端口标识与带宽利用率分别进行向量化处理,以生成交换机标识向量、网络设备标识向量、通信协议向量、端口标识向量与带宽利用率向量;
将所述交换机标识向量、所述网络设备标识向量与所述通信协议向量拼接为设备通信协议向量;
将所述端口标识向量与所述带宽利用率向量拼接为端口带宽向量;
将所述设备通信协议向量与所述端口带宽向量输入至预先训练的流量日志检测模型中,得到流量日志检测结果,其中,所述流量日志检测结果包括:通信协议检测结果与端口带宽利用率检测结果,所述流量日志检测模型包括通信协议检测模型与端口带宽利用率检测模型;
其中,所述将所述设备通信协议向量与所述端口带宽向量输入至预先训练的流量日志检测模型中,得到流量日志检测结果,包括:
将所述设备通信协议向量输入至所述通信协议检测模型中,得到通信协议检测结果;
将所述端口带宽利用率检测模型输入至所述端口带宽利用率检测模型中,得到端口带宽利用率检测结果;
将所述通信协议检测结果与所述端口带宽利用率检测结果组合为流量日志检测结果;
其中,所述流量日志检测模型是通过以下步骤训练得到的:
获取通信协议样本组与端口带宽利用率样本组,其中,所述通信协议样本组包括正通信协议样本与负通信协议样本;
对所述正通信协议样本与所述负通信协议样本分别进行向量化处理,以生成正通信协议样本向量与负通信协议样本向量;
将所述负通信协议样本向量输入至初始流量日志检测模型包括的初始样本去噪网络中,得到负通信协议噪声去除向量;
根据所述负通信协议噪声去除向量、所述负通信协议样本向量和所述初始流量日志检测模型包括的初始通信协议分类模型,生成对应所述负通信协议样本的通信协议分类信息,其中,所述通信协议分类信息表征所述负通信协议样本对应的通信协议是否为异常通信协议;
根据所述正通信协议样本向量、所述负通信协议噪声去除向量和所述通信协议分类信息,对所述初始流量日志检测模型包括的初始通信协议检测模型进行训练,得到训练后的通信协议检测模型;
根据所述端口带宽利用率样本组,对所述初始流量日志检测模型包括的初始端口带宽利用率检测模型进行训练,得到训练后的端口带宽利用率检测模型;
将所述通信协议检测模型与所述端口带宽利用率检测模型组合为流量日志检测模型;
存储单元,被配置成将所述流量日志组中对应的流量日志检测结果表征日志无异常的各个流量日志存储至目标数据库;存储单元,被进一步配置成:
将所述流量日志组中对应的流量日志检测结果表征日志无异常的各个流量日志确定为待存储流量日志组;
对于所述待存储流量日志组中每个待存储流量日志,执行如下处理步骤:
确定预设的网络设备标识组中是否存在对应所述待存储流量日志包括的网络设备标识的网络设备标识;
响应于确定所述网络设备标识组中存在对应所述待存储流量日志包括的网络设备标识的网络设备标识,根据预设的存储容量阈值、所述待存储流量日志对应的文件数据容量与所述待存储流量日志包括的至少一个通信时间节点,对所述待存储流量日志进行划分,得到至少一个子流量日志;
根据所述待存储流量日志包括的交换机标识,将所述至少一个子流量日志存储至所述目标数据库中;
其中,所述根据预设的存储容量阈值、所述待存储流量日志对应的文件数据容量与所述待存储流量日志包括的至少一个通信时间节点,对所述待存储流量日志进行划分,得到至少一个子流量日志,包括:
确定所述待存储流量日志对应的文件数据容量是否大于等于所述存储容量阈值;
响应于确定所述文件数据容量小于等于所述存储容量阈值,将所述待存储流量日志确定为子流量日志;
响应于确定所述文件数据容量大于所述存储容量阈值,根据所述待存储流量日志包括的至少一个通信时间节点,对所述待存储流量日志进行第一划分,得到至少一个第一子流量日志,其中,第一子流量日志对应通信时间节点;
对所述至少一个第一子流量日志进行划分处理,以生成至少一个第一子流量日志组,其中,第一子流量日志组包括的各个第一子流量日志对应的数据容量小于等于所述存储容量阈值;
将所述至少一个第一子流量日志组中的每个第一子流量日志组合并为子流量日志,得到至少一个子流量日志。
3.一种电子设备,包括:
一个或多个处理器;
存储装置,其上存储有一个或多个程序;
当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现如权利要求1所述的方法。
4.一种计算机可读介质,其上存储有计算机程序,其中,所述程序被处理器执行时实现如权利要求1所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310023591.3A CN115801447B (zh) | 2023-01-09 | 2023-01-09 | 基于工业安全的流量解析方法、装置与电子设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310023591.3A CN115801447B (zh) | 2023-01-09 | 2023-01-09 | 基于工业安全的流量解析方法、装置与电子设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN115801447A CN115801447A (zh) | 2023-03-14 |
| CN115801447B true CN115801447B (zh) | 2023-04-21 |
Family
ID=85428764
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202310023591.3A Active CN115801447B (zh) | 2023-01-09 | 2023-01-09 | 基于工业安全的流量解析方法、装置与电子设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115801447B (zh) |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105608188A (zh) * | 2015-12-23 | 2016-05-25 | 北京奇虎科技有限公司 | 数据处理方法和数据处理装置 |
| CN106055697A (zh) * | 2016-06-15 | 2016-10-26 | 安徽天枢信息科技有限公司 | 一种非结构化事件日志数据的划分和存储的方法与装置 |
| JP2020010261A (ja) * | 2018-07-11 | 2020-01-16 | Phcホールディングス株式会社 | ネットワーク監視装置、ネットワーク監視方法、及びネットワーク監視プログラム |
| CN111858242A (zh) * | 2020-07-10 | 2020-10-30 | 苏州浪潮智能科技有限公司 | 一种***日志异常检测方法、装置及电子设备和存储介质 |
| CN113079150A (zh) * | 2021-03-26 | 2021-07-06 | 深圳供电局有限公司 | 一种电力终端设备入侵检测方法 |
| CN114567463A (zh) * | 2022-02-15 | 2022-05-31 | 浙江腾珑网安科技有限公司 | 一种工业网络信息安全监测与防护*** |
| CN115348092A (zh) * | 2022-08-17 | 2022-11-15 | 西安热工研究院有限公司 | 一种工控网络异常流量检测方法、装置及电子设备 |
-
2023
- 2023-01-09 CN CN202310023591.3A patent/CN115801447B/zh active Active
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105608188A (zh) * | 2015-12-23 | 2016-05-25 | 北京奇虎科技有限公司 | 数据处理方法和数据处理装置 |
| CN106055697A (zh) * | 2016-06-15 | 2016-10-26 | 安徽天枢信息科技有限公司 | 一种非结构化事件日志数据的划分和存储的方法与装置 |
| JP2020010261A (ja) * | 2018-07-11 | 2020-01-16 | Phcホールディングス株式会社 | ネットワーク監視装置、ネットワーク監視方法、及びネットワーク監視プログラム |
| CN111858242A (zh) * | 2020-07-10 | 2020-10-30 | 苏州浪潮智能科技有限公司 | 一种***日志异常检测方法、装置及电子设备和存储介质 |
| CN113079150A (zh) * | 2021-03-26 | 2021-07-06 | 深圳供电局有限公司 | 一种电力终端设备入侵检测方法 |
| CN114567463A (zh) * | 2022-02-15 | 2022-05-31 | 浙江腾珑网安科技有限公司 | 一种工业网络信息安全监测与防护*** |
| CN115348092A (zh) * | 2022-08-17 | 2022-11-15 | 西安热工研究院有限公司 | 一种工控网络异常流量检测方法、装置及电子设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN115801447A (zh) | 2023-03-14 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| WO2022252881A1 (zh) | 图像处理方法、装置、可读介质和电子设备 | |
| CN113765928B (zh) | 物联网入侵检测方法、设备及介质 | |
| CN115412370B (zh) | 车辆通信数据检测方法、装置、电子设备和可读介质 | |
| CN111858381B (zh) | 应用程序容错能力测试方法、电子设备及介质 | |
| CN112507265B (zh) | 基于树结构进行异常侦测的方法、装置及相关产品 | |
| CN115801447B (zh) | 基于工业安全的流量解析方法、装置与电子设备 | |
| CN117253334A (zh) | 电动汽车充电站烟雾火灾预警方法、装置和设备 | |
| CN116186545A (zh) | 预训练模型的训练、应用方法、装置、电子设备及介质 | |
| CN114579416B (zh) | 一种指标确定方法、装置、服务器和介质 | |
| CN113839912B (zh) | 主被动结合进行异常主机分析的方法、装置、介质和设备 | |
| CN112379967B (zh) | 模拟器检测方法、装置、设备及介质 | |
| CN111680754B (zh) | 图像分类方法、装置、电子设备及计算机可读存储介质 | |
| CN115941357B (zh) | 基于工业安全的流量日志检测方法、装置与电子设备 | |
| CN115600216B (zh) | 检测方法、装置、设备及存储介质 | |
| CN116881974B (zh) | 基于数据获取请求的数据处理方法、装置和电子设备 | |
| CN113572768B (zh) | 一种僵尸网络家族传播源数量变化异常的分析方法 | |
| CN116467178B (zh) | 数据库检测方法、装置、电子设备和计算机可读介质 | |
| CN116452770B (zh) | 三维模型重建方法、装置、设备和介质 | |
| CN111582482B (zh) | 用于生成网络模型信息的方法、装置、设备和介质 | |
| CN118041804B (zh) | 通信设备联网数据检测方法、装置、电子设备与可读介质 | |
| CN116668337A (zh) | 数据检测方法、装置、设备及存储介质 | |
| CN116824505A (zh) | 运维审计方法、装置、设备及存储介质 | |
| CN115412353A (zh) | Api数据安全管理方法、装置、设备及计算机存储介质 | |
| CN118197358A (zh) | 音频故障识别方法、装置、电子设备和计算机可读介质 | |
| CN117714675A (zh) | 视频质量的评估方法、装置、设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |